配置tracert命令详解

基础过滤工具10.
1配置基本的访问控制列表10.
2配置高级的访问控制列表10.
3配置前缀列表10.
1配置基本的访问控制列表原理概述访问控能列表ACL(AccessControlList)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述.
ACL规则通过匹配报文中的信息对数据包进行分类,路由设各根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝.

按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999.
一个ACL可以由多条"deny/permit"语句组成,每一条语句描述一条规则,每条规则有一个Rule-ID.
Rule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5,Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配.
实验目的·理解基本访问控制列表的应用场景·掌握配置基本访问控制列表的方法实验内容本实验模拟企业网络环境,RI为分支机构A管理员所在IT部门的网关,为分支机构A用户部门的网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备.
整网运行OSPF协议,并在区域0内企业设计通过远程方式管理核心网路由器R4,要求只能由RI所连的PC(本实验使用环回接口模拟)访问R4,其他设备均不能访问.
实验拓扑实验编址配置基本的访问控制列表的拓扑如图所示.
实验编址设备接口IP地址子网掩码默认网关R1(AR2220)GE0/0/010.
0.
13.
1255.
255.
255.
0N/ALoopback01.
1.
1.
1255.
255.
255.
255N/AR2(AR2220)GE0/0/010.
0.
23.
2255.
255.
255.
0N/AR3(AR2220)GE0/0/010.
0.
13.
3255.
255.
255.
0N/AGE0/0/110.
0.
23.
3255.
255.
255.
0N/AGE0/0/210.
0.
34.
3255.
255.
255.
0N/ALoopback03.
3.
3.
3255.
255.
255.
255N/AR4(AR2220)GE0/0/010.
0.
34.
4255.
255.
255.
0N/ALoopback04.
4.
4.
4255.
255.
255.
255N/A实验步骤1.
基本配置根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性测试通过,其余直连网段的连通性测试省略.
2.
搭建OSPF网络在所有路由器上运行OSPF协议,通告相应网段至区域0中.
配置完成后,在R1的路由表上查看OSPF路由信息.
路由器R1已经学习到了相关网段的路由条目,测试R1的环回口与R4的环回口间的连通性.
通信正常,其他路由器之间测试省略.
3.
配置基本ACL控制访问在总部核心路由器R4上配置Telnet相关配置,配置用户密码为huawei.
配置完成后,尝试在IT部门网关设备R1上建立Telnet连接.
可以观察到,R1可以成功登陆R4.
再尝试在普通员工部门网关设备R2上建立连接.
这时发现,只要是路由可达的设各,并且拥有Telnet的密码,都可以成功访问核心设备R4.
这显然是极为不安全的.
网络管理员通过配置标准ACL来实现访问过滤,禁止普通员工设各登录.
基本的ACL可以针对数据包的源IP地址进行过滤,在R4上使用ACL命令创建一个编号型ACL,基本ACL的范围是2000~2999.
接下来在ACL视图中,使用rule命令配置ACL规则,指定规则ID为5,允许数据包源地址为1.
1.
1.
1的报文通过,反掩码为全0,即精确匹配.
使用rule命令配置第二条规则,指定规则ID为10,拒绝任意源地址的数据包通过.
在上面ACL配置中第一条规则的规则ID定义为5,并不是1;第二条定义为10,也不与5连续,这样配置的好处是能够方便后续的修改或插入新的条目.
并且在配置的时候也可以不采用手工方式指定觌则ID,ACL会自动分配规则ID,第一条为5,第二条为10,第三条为15,依此类推,即默认步长为5,该步长参数也是可以修改的.
ACL配置完成后,在VTY中调用,使用inbound参数,即在R4的数据入方向上调用.
配置完成后,使用R1的环回口地址1.
1.
1.
1测试访问4.
4.
4.
4的连通性.
发现没有问题,然后尝试在R2上访问R4.
可以观察到,此时R2己经无法访问4.
4.
4.
4,即上述ACL配置己经生效.
4.
基本ACL的语法规则ACL的执行是有顺序性的,如果规则ID小的规则己经被命中,并且执行了允许或者拒绝的动作,那么后续的规则就不再继续匹配.
在R4上使用displayaclall命令查看设备上所有的访问控制列表.
以上是目前ACL的所有配置信息.
根据上一步骤中的配置,R4中存在一个基本ACL,有两个规则rule5permitsource1.
1.
1.
10和rule10denysourceany,且根据这两个规则己经将R2的访问拒绝.
现出现新的需求,需要R3能够使用其环回口3.
3.
3.
3访问R4.
首先尝试使用规则ID15来添加允许3.
3.
3.
3访问的规则.
配置完成后,尝试使用R3的3.
3.
3.
3访问R4.
发现无法访问.
按照ACL匹配顺序,这是由于规则为10的条目是拒绝所有行为,后续所有的允许规则都不会被匹配.
若要此规则生效,必须添加在拒绝所有的规则ID之前.
在R4上修改ACL2000,将规则ID修改为8.
配置完成后,再次尝试使用R3的环回口访问R4.
此时访问成功,证明配置已经生效.
10.
2配置高级的访问控制列表原理概述基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表.
高级的访问控制列表在匹配项上做了扩展,编号范围为3000~3999,既可使用报文的源IP地址,也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来定义规则.
高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更加广泛的应用.
实验目的·理解高级访问控制列表的应用场景·掌握配置高级访问控伟刂列表的方法·理解高级访问控制列表与基本访问控制列表的区别实验内容本实验模拟企业网络环境.
R1为分支机构A管理员所在IT部门的网关,R2为分支机构A用户部门的网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备.
企业原始设计思路想要通过远程方式管理核心网路由器R4,要求由R1所连的PC可以访问R4,其他设备均不能访问.
同时又要求只能管理R4上的4.
4.
4.
4这台服务器,另一台同样直连R4的服务器40.
40.
40.
40不能被管理(本实验PC使用环回接口模拟)实验拓扑配置高级的访问控制列表的拓扑如图2所示.
实验编址实验编址见表如下设备接口IP地址子网掩码默认网关R1(AR2220)GE0/0/010.
0.
13.
1255.
255.
255.
0N/ALoopback01.
1.
1.
1255.
255.
255.
255N/AR2(AR2220)GE0/0/010.
0.
23.
2255.
255.
255.
0N/AR3(AR2220)GE0/0/010.
0.
13.
3255.
255.
255.
0N/AGE0/0/110.
0.
23.
3255.
255.
255.
0N/AGE0/0/210.
0.
34.
3255.
255.
255.
0N/ALoopback03.
3.
3.
3255.
255.
255.
255N/AR4(AR2220)GE0/0/010.
0.
34.
4255.
255.
255.
0N/ALoopback04.
4.
4.
4255.
255.
255.
255N/ALoopback140.
40.
40.
40255.
255.
255.
255N/A实验步骤1.
基本配置根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性测试通过,其余直连网段的连通性测试省略.
2.
搭建OSPF网络在所有路由器上运行OSPF协议,通告相应网段至区域0中.
配置完成后,在R1的路由表上查看OSPF路由信息.
路由器R1已经学习到了相关网段的路由条目.
3.
配置基本Telnet在总部核心路由器R4上配置Telnet相关配置,配置用户密码为huawei.
配置完成后,尝试在R1上建立与R4的环回接口0的IP地址的Telnet连接.
可以观察到,R1已经可以成功登陆R4.
再尝试在R1上建立与R4的环回接口1的IP地址的Telnet连接.
这时发现,只要是路由可达的设备,并且拥有Telnet的密码,都可以成功正常登录.
4.
配置高级ACL控制访问根据设计要求,R1的环回接口只能通过R4上的4.
4.
4.
4进行Telnet访问,但是不能通过40.
40.
40.
40访问.
如果要R1只能通过访问R4的环回口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为ACL只能通过匹配原地址实现过滤,所以需要使用到高级ACL,在R4上使用ACL命令创建一个高级ACL3000.
在高级ACL视图中,使用rule命令配置ACL规则,IP为协议类型,允许源地址为1.
1.
1.
1、目的地址为4.
4.
4.
4的数据包通过.
配置完成后,查看ACL配置信息.
可以观察到,在不指定规则ID的情况下,默认步长为5,第一条规则的规则ID即为5.
将ACL3000调用在VTY下,使用inbound参数,即在R4的数据入方向上调用.
配置完成后,在R1上使用环回口地址尝试访问40.
40.
40.
40.
可以观察到,此时过滤己经实现,R1不能使用环回口地址40.
40.
40.
40.
此外高级ACL还可以实现对源、目的端口,协议号等信息的匹配,功能非常强大.
10.
3配置前缀列表原理概述前缀列表即IP-PrefixList,它可以将与所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤.
前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0~32,可以进行精确匹配或者在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围.
前缀列表能同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤.